Skip to main content

Suivi des alertes d’analyse du code dans les problèmes en utilisant des listes de tâches

Vous pouvez ajouter des alertes d’analyse de code à des problèmes à l’aide de listes de tâches. Cela facilite la création d’un plan pour le travail de développement qui inclut la résolution des alertes.

Qui peut utiliser cette fonctionnalité ?

If you have write permission to a repository you can track code scanning alerts in issues using task lists.

Code scanning est disponible pour tous les dépôts publics sur GitHub.com. Pour utiliser code scanning dans un dépôt privé appartenant à une organisation, vous devez avoir une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Remarque : Le suivi des alertes d’code scanning dans les problèmes est en version bêta et peut être amené à changer.

Cette fonctionnalité prend en charge l’exécution d’analyses de manière native via GitHub Actions ou de manière externe via l’infrastructure CI/CD existante ainsi que les outils d’code scanning tiers, mais pas à l’aide d’outils de suivi tiers.

À propos du suivi des alertes d’code scanning dans les problèmes

Les alertes Code scanning s’intègrent aux listes de tâches de GitHub Issues pour vous permettre de les prioriser et les suivre facilement dans le cadre de vos travaux de développement. Pour suivre une alerte code scanning dans un problème existant, ajoutez l'URL de l'alerte en tant qu'élément de la liste des tâches dans le problème. Pour plus d’informations sur les listes de tâches, consultez « À propos des listes de tâches ».

Vous pouvez également créer un nouveau problème pour suivre une alerte :

Vous pouvez utiliser plusieurs problèmes pour suivre la même alerte d’code scanning et les problèmes peuvent appartenir à d’autres dépôts que celui où l’alerte d’code scanning a été trouvée.

GitHub Enterprise Cloud fournit des indications visuelles à différents endroits de l’interface utilisateur pour indiquer quand vous suivez des alertes d’code scanning dans les problèmes.

  • La page de liste des alertes code scanning affichera les alertes qui sont suivies dans les problèmes. Vous pouvez ainsi repérer rapidement les alertes qui doivent encore être traitées et le nombre de problèmes dans lesquels elles sont suivies.

    Capture d’écran de la vue des alertes d’code scanning. La première entrée comprend l’icône de problème suivie du numéro 2. La troisième entrée comprend l’icône de problème suivie du numéro 1. Les deux sont encadrés en orange foncé.

  • Une section « Suivi dans » s’affiche également dans la page d’alerte correspondante.

    Capture d’écran d’une alerte d’code scanning. Sous le titre de l’alerte, « Suivi par #1, #2 » est encadré en orange foncé.

  • Sur le problème de suivi, GitHub affiche une icône de badge de sécurité dans la liste des tâches et dans la fiche contextuelle.

    Seuls les utilisateurs disposant d’autorisations d’écriture sur le dépôt voient l’URL complète vers l’alerte dans le problème ainsi que la fiche contextuelle. Pour les utilisateurs disposant d’autorisations de lecture sur le dépôt ou dépourvus d’autorisations, l’alerte s’affiche sous la forme d’une URL simple.

    L’icône est grise, car une alerte a l’état « ouvert » ou « fermé » sur chaque branche. Le problème suit une alerte, de sorte que l’alerte ne peut pas avoir un seul état ouvert/fermé dans le problème. Si l’alerte est fermée sur une branche, la couleur de l’icône ne change pas.

    Capture d’écran montrant un problème qui suit une alerte d’code scanning. La carte sensitive de l’alerte s’affiche, avec une icône de badge de sécurité grise précédant le titre.

L’état de l’alerte suivie ne change pas si vous changez l’état de la case à cocher de l’élément de liste de tâches correspondant (coché/décoché) dans le problème.

Création d’un problème de suivi

Au lieu de suivre une alerte code scanning dans un problème existant, vous pouvez créer un nouveau problème pour suivre directement une alerte. Vous pouvez créer des problèmes de suivi pour les alertes code scanning à partir de l’alerte ou de l’API.

Création d'un problème de suivi à partir d'une alerte code scanning

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité. Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, cliquez sur Code scanning.

  4. Sous « Code scanning », cliquez sur l’alerte à explorer pour afficher la page de l’alerte détaillée.

  5. Si vous le souhaitez, pour rechercher l’alerte à suivre, vous pouvez utiliser la recherche en texte libre ou les menus déroulants afin de filtrer et localiser l’alerte. Pour plus d’informations, consultez « Gestion des alertes d’analyse du code pour votre référentiel ».

  6. En haut de la page, sur le côté droit, cliquez sur Créer un problème.

    Capture d’écran d’une alerte d’code scanning. Le bouton « Créer un problème » est encadré en orange foncé.

    GitHub crée automatiquement un problème pour suivre l’alerte et ajoute l’alerte en tant qu’élément de la liste de tâches. GitHub préremplit le problème :

    • Le titre contient le nom de l’alerte d’code scanning.
    • Le corps contient l’élément de liste de tâches avec l’URL complète vers l’alerte d’code scanning.
  7. Si vous le souhaitez, modifiez le titre et le corps du problème.

    Avertissement : Vous pouvez modifier le titre du problème, car il peut exposer des informations de sécurité. Vous pouvez également modifier le corps du problème. Veillez à conserver l’élément de lien liste des tâches avec un lien vers l’alerte, sinon le problème ne suit plus l’alerte.

  8. Cliquez sur Envoyer le nouveau problème.

Création d’un problème de suivi à partir de l’API

  1. Commencez par la création d’un problème à partir de l’API. Pour plus d’informations, consultez « Création d’un problème ».

  2. Fournissez le lien d’analyse du code dans le corps du problème. Vous devez utiliser la syntaxe suivante de la liste de tâches pour créer la relation suivie :- [ ] FULL-URL-TO-THE-CODE-SCANNING-ALERT.

    Par exemple, si vous ajoutez - [ ] https://github.com/octocat-org/octocat-repo/security/code-scanning/17 à un problème, celui-ci suivra l'alerte code scanning qui a un numéro d'identification de 17 dans l'onglet Sécurité du référentiel octocat-repo dans l'organisation octocat-org.